EP2338264B1

EP2338264B1 - Optimierung von weiterleitungen an nicht vertrauenswürdige nicht-gpp-netzwerke

Info

Publication number: EP2338264B1
Application number: EP09778682.6A
Authority: EP
Inventors: Jens Bachmann; Genadi Velev; Shinkichi Ikeda; Jun Hirano
Original assignee: Panasonic Intellectual Property Corp of America
Current assignee: Panasonic Intellectual Property Corp of America
Priority date: 2008-09-23
Filing date: 2009-09-23
Publication date: 2018-05-30
Anticipated expiration: 2029-09-23
Also published as: US8964695B2; EP2338264A1; KR20110063642A; EP2166724A1; WO2010034483A1; JP5578579B2; US20110216743A1; JP2012503385A

Claims

Verfahren zum Sicherstellen der IP-Sitzungskontinuität bei einer Weiterleitung eines mobilen Knotens von einem Quellnetzwerk an ein Nicht-3GPP-Netzwerk, wobei sich der mobile Knoten zuerst im Quellnetzwerk befindet und eine laufende IP-Sitzung über ein Paketdatennetzwerk-Gateway in dem Quellnetzwerk hat,
während der mobile Knoten mit dem Quellnetzwerk verknüpft ist, umfasst das Verfahren die Schritte:
Errichten einer vorläufigen Sicherheitszuordnung zwischen dem mobilen Knoten und einem Sicherheits-Gateway, wobei das Sicherheits-Gateway für das Quellnetzwerk eine sichere Kommunikationsvermittlung zu dem Nicht-3GPP-Netzwerk bereitstellt, und

Errichten eines vorläufigen Tunnels zwischen dem Sicherheits-Gateway und dem Paketdatennetzwerk-Gateway,
wenn die Weiterleitung des mobilen Knotens an das Nicht-3GPP-Netzwerk durchgeführt wird, umfasst das Verfahren des Weiteren die Schritte:
Aktualisieren der vorläufigen Sicherheitszuordnung zwischen dem mobilen Knoten und dem Sicherheits-Gateway durch Verwendung der lokalen Adresse des mobilen Knotens in dem Nicht-3GPP-Netzwerk, um einen sicheren Tunnel zwischen dem mobilen Knoten und dem Sicherheits-Gateway zu errichten, und

Aktivieren des vorläufigen Tunnels zwischen dem Paketdatennetzwerk-Gateway und dem Sicherheits-Gateway.
Verfahren nach Anspruch 1, wobei das Sicherheits-Gateway über die IP-Adresse des mobilen Knotens informiert wird, die für die Errichtung der Sicherheitszuordnung zu verwenden ist.
Verfahren nach Anspruch 2, wobei das Sicherheits-Gateway über die IP-Adresse des mobilen Knotens implizit oder explizit informiert wird.
Verfahren nach einem der Ansprüche 1 bis 3, wobei die vorläufige Sicherheitszuordnung zwischen dem Sicherheits-Gateway und dem mobilen Knoten mittels einer Adresse des mobilen Knotens errichtet wird, die zugewiesen wird, wenn im Quellnetzwerk, und
wobei das Aktualisieren der vorläufigen Sicherheitszuordnung das Austauschen der Adresse des mobilen Knotens, die zugewiesen wird, wenn im Quellnetzwerk, mit einer lokalen Adresse des mobilen Knotens im Nicht-3GPP-Netzwerk umfasst.
Verfahren nach einem der Ansprüche 1 bis 4, wobei der Schritt zum Errichten der vorläufigen Sicherheitszuordnung den Schritt umfasst:
Detektieren durch das Sicherheits-Gateway, dass die vorläufige Sicherheitszuordnung vorläufig ist, auf der Basis einer
Anzeige, die von dem mobilen Knoten für das Sicherheits-Gateway bereitgestellt wird, oder auf der Basis darauf,

dass die Adresse des mobilen Knotens zugewiesen wird, wenn im Quellnetzwerk, oder auf der Basis

einer Anfrage an einen Authentifizierungsserver, der während der Errichtung der vorläufigen Sicherheitszuordnung vom Sicherheits-Gateway kontaktiert wird.
Verfahren nach einem der Ansprüche 2 bis 5, wobei der Schritt zum Errichten des vorläufigen Tunnels zwischen dem Paketdatennetzwerk-Gateway und dem Sicherheits-Gateway den Schritt umfasst:
beim Errichten der vorläufigen Sicherheitszuordnung Konfigurieren durch das Sicherheits-Gateway eines vorläufigen Bindung-Cache-Eintrags am Paketdatennetzwerk-Gateway mittels der Adresse des Sicherheits-Gateway.
Verfahren nach einem der Ansprüche 2 bis 5, wobei eine allgemeine Sicherheits-Gateway Identifizierung für den mobilen Knoten während des Schritts zum Errichten der vorläufigen Sicherheitszuordnung oder des vorläufigen Tunnels bereitgestellt wird, und wobei der Schritt zum Aktivieren des vorläufigen Tunnels das Senden einer Nachricht von dem mobilen Knoten zu dem Paketdatennetzwerk-Gateway umfasst, das die allgemeine Sicherheits-Gateway Identifizierung umfasst.
Verfahren nach einem der Ansprüche 2 bis 8, wobei der vorläufige Tunnel zwischen dem Paketdatennetzwerk-Gateway und dem Sicherheits-Gateway durch das Sicherheits-Gateway errichtet und durch den mobilen Knoten aktiviert wird, wobei das Verfahren des Weiteren den Schritt umfasst:
Empfangen durch den mobilen Knoten eines Authentifizierungstokens für eine später Autorisierung des mobilen Knotens, um den vom Sicherheits-Gateway errichteten vorläufigen Tunnel zu aktivieren.
Verfahren nach einem der Ansprüche 2 bis 8, wobei eine Vielzahl von Nicht-3GPP-Netzwerken für die Weiterleitung des mobilen Knotens verfügbar sind und wobei
mindestens ein Sicherheits-Gateway Kandidat für die Vielzahl von Nicht-3GPP-Netzwerken bestimmt wird,
eine vorläufige Sicherheitszuordnung zwischen dem mobilen Knoten und jedem bestimmten Sicherheits-Gateway Kandidaten errichtet wird,
ein vorläufiger Tunnel zwischen dem Paketdaten-Netzwerk-Gateway und jedem bestimmten Sicherheits-Gateway Kandidaten errichtet wird, und
wobei, wenn die Weiterleitung des mobilen Knotens an ein Ziel-Nicht-3GPP-Netzwerk durchgeführt wird, die vorläufige Sicherheitszuordnung aktualisiert und der vorläufige Tunnel aktiviert wird, der für das Zielsicherheits-Gateway des Ziel-Nicht-3GPP-Netzwerks errichtet wurde.
Verfahren nach Anspruch 9, wobei der Schritt zum Errichten einer vorläufigen Sicherheitszuordnung mit jedem bestimmten Sicherheits-Gateway Kandidaten den Schritt umfasst:
Senden von jedem bestimmten Sicherheits-Gateway Kandidaten an den mobilen Knoten von Informationen über Zugangsnetzwerke, die für jeden bestimmten Sicherheits-Gateway Kandidaten bevorzugt werden, und

wobei die Informationen über Zugangsnetzwerke von dem mobilen Knoten verwendet werden, um das Zielsicherheits-Gateway unter den Sicherheits-Gateway Kandidaten zu bestimmen.
Verfahren nach einem der Ansprüche 1 bis 10, wobei der mobile Knoten eine zweite IP-Sitzung über ein zweites Paketdatennetzwerk-Gateway erreichtet und der Schritt zum Errichten der zweiten IP-Sitzung des Weiteren die Schritte umfasst:
Errichten eines zweiten vorläufigen Tunnels zwischen dem zweiten Paketdatennetzwerk-Gateway und dem Sicherheits-Gateway für die zweite IP-Sitzung.
Verfahren nach Anspruch 11, wobei der Schritt zum Errichten der zweiten IP-Sitzung des Weiteren die Schritte umfasst:
Senden einer allgemeinen Sicherheits-Gateway Identifizierung von dem mobilen Knoten an das zweite Paketdatennetzwerk-Gateway,
wobei der zweite vorläufige Tunnel durch das zweite Paketdatennetzwerk-Gateway mittels der allgemeinen Sicherheits-Gateway Identifizierung errichtet wird.
Verfahren nach einem der Ansprüche 1 bis 12, wobei das Quellnetzwerk ein Nicht-3GPP-Netzwerk ist und die laufende IP-Sitzung des mobilen Knotens über ein Sicherheits-Gateway des Quell-Nicht-3GPP-Netzwerks geht, wobei das Verfahren des Weiteren die Schritte umfasst, die nach der Weiterleitung des mobilen Knotens an das Ziel-Nicht-3GPP-Netzwerk durchgeführt werden:
Aktualisieren einer Sicherheitszuordnung zwischen dem Sicherheits-Gateway des Quell-Nicht-3GPP-Netzwerks und dem mobilen Knoten durch Verwendung der Heimatadresse des mobilen Knotens zum Errichten eines vorläufigen Zustands der Sicherheitszuordnung zwischen dem Sicherheits-Gateway des Quell-Nicht-3GPP-Netzwerks und dem mobilen Knoten,

Ändern eines Tunnels zwischen dem Paketdatennetzwerk-Gateway und dem Sicherheits-Gateway des Quell-Nicht-3GPP-Netzwerks, das für die IP-Sitzung verwendet wird, in einen vorläufigen Zustand.
Mobiler Knoten, der mit einem Quellnetzwerk verknüpft ist, um eine IP-Sitzungskontinuität bei einer Weiterleitung des mobilen Knotens an ein Nicht-3GPP-Netzwerk sicherzustellen, wobei der mobile Knoten eine laufende IP-Sitzung über ein Paketdatennetzwerk-Gateway im Quellnetzwerk hat, wobei der mobile Knoten umfasst:
einen Empfänger und einen Sender, die angepasst sind, um Nachrichten mit einem Sicherheits-Gateway zur Errichtung einer vorläufigen Sicherheitszuordnung zwischen dem mobilen Knoten und dem Sicherheits-Gateway auszutauschen, während der mobile Knoten mit dem Quellnetzwerk verknüpft ist, wobei das Sicherheits-Gateway für das Quellnetzwerk eine sichere Kommunikationsvermittlung zu dem Nicht-3GPP-Netzwerk bereitstellt,

wobei in Reaktion auf das Errichten des vorläufigen Sicherheitstunnels das Sicherheits-Gateway angepasst ist, um einen vorläufigen Tunnel zwischen dem Sicherheits-Gateway und dem Paketdatennetzwerk-Gateway zu errichten,

der Sender und der Empfänger des mobilen Knotens des Weiteren angepasst sind, um, wenn die Weiterleitung des mobilen Knotens zum Nicht-3GPP-Netzwerk durchgeführt wird,

Nachrichten mit dem Sicherheits-Gateway zum Aktualisieren der vorläufigen Sicherheitszuordnung zwischen dem mobilen Knoten und dem Sicherheits-Gateway durch Verwenden der lokalen Adresse des mobilen Knotens in dem Nicht-3GPP-Netzwerk auszutauschen, um einen sicheren Tunnel zwischen dem mobilen Knoten und dem Sicherheits-Gateway zu errichten, und

wobei der Sender des Weiteren angepasst ist, um, wenn die Weiterleitung des mobilen Knotens an das Nicht-3GPP-Netzwerk durchgeführt wird, eine Nachricht an das Paketdatennetzwerk-Gateway zur Aktivierung des vorläufigen Tunnels für das Sicherheits-Gateway zu senden.